|
|
ATTENTION: une mise à jour de votre antivirus ne fera que vous empêcher d'être de nouveau contaminé.
Un
programmeur du nom de Marc Laffitte, partant du principe qu'il faut combattre le
feu par le feu, a écrit deux VBscripts permettant d'automatiser la procédure
d'élimination du virus décrite ci-dessous. Ces
scripts sont téléchargeables sur son site.
si vous n'êtes pas encore infecté, votre antivirus peut être mis à jour. cliquez ici (site de ZDNet)
Ce virus spécifiquement anti-Windows est à l'origine d'un immense remous socio-politique qui n'a absolument pas lieu d'être. En effet, bien qu'il soit d'une virulence inédite pour un virus transmis par mail, ce n'est ni le premier, ni le plus puissant connu à ce jour.
Tout utilisateur ne craignant pas, pour sauver son PC, de plonger dans sa base de registres parviendra à s'en débarrasser aisément.
Les utilisateurs confirmés me pardonneront, mais j'essaie de faire en sorte que tout utilisateur, fut-il novice, puisse effectuer ces manipulations.
Le texte dédié aux utilisateurs novice sera marqué de violet. Le texte destiné aux utilisateurs plus aguerris sera en bleu.
Le texte contenant les informations de la base de registre sera en surligné.
Ce virus fonctionne sur les machines employant Windows scripting Host.
Les rares machines tournant sous Windows 95 et Windows NT4 sur lesquelles WSH n'est pas installé ne risquent rien.
Les Macs et les machines linux ne risquent rien (sauf, bien sûr, si elles ont
Windows en émulation)
NOTE: pour parcourir la base de registre, cliquez sur Démarrer / executer et, dans la fenêtre qui s'affiche, tapez simplement regedit. Le regedit permet de se déplacer dans la base de registres comme dans l'explorer de Windows, par simple double-clic sur un "repertoire". Pour modifier une valeur (elles apparaissent dans la partie droite de l'écran), il suffit de double-cliquer dessus. ATTENTION: cet outil vous permet d'intervenir au coeur même de Windows. Ne quittez surtout pas les sentiers ci-dessous! Je ne suis pas tenu pour responsable des dégâts que vous pourriez créer en manipulant ces données aveuglément))
Fonctionnement du virus
Cette section définit le fonctionnement du virus et vous donne des indices
vous permettant de déterminer si votre machine est infectée ou non...
débutants, suivez le guide...
ATTENTION: les repertoires cités sont les repertoires système de Windows 95/98. Pour 2000 et NT, il vous suffit d'adapter, les manipulations étant les mêmes
1)Préparation de l'exécution (cette partie peut être
passée pour les utilisateurs novices)
Modification de la Base de Registres: mise à 0 de la variable :
HKEY_CURRENT_USER/Software/Microsoft/Windows Scripting Host/Settings/Timeout
Cette variable stoppe tout script après un certain temps d'idle.
0 signifie "pas d'arrêt" ! (le script contenant le virus continue de s'executer à son aise)
(il se peut, sur certaines machines que cette variable soit située dans:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows Scripting
Host/Settings/Timeout
)
2)Recopie locale du virus
Le virus s'auto copie et crée les fichiers suivants :
windows/Win32DLL.vbs
windows/system/MSKernel32.vbs
windows/system/LOVE-LETTER-FOR-YOU.TXT.vbs
3)Préparation pour autorun
Modification de la Base de Registres dans la clef :
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
Ajout de l'entrée "MSKernel32"
Valeur : "Windows/system/MSKernel32.vbs" (attention, il est possible que le virus emprunte les noms des fichiers cités ci-dessus)
(Personellement, j'ai trouvé cette clé en suivant le chemin suivant:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run)
Modification de la Base de Registres dans la clé:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
(NB: n'existe normalement pas sous Windows NT et Windows 2000)
Ajout de l'entrée "Win32DLL"
Valeur : "Windows/Win32DLL.vbs"
Ces clés contienent les éléments executés à chaque démarrage de Windows
(pensez également à supprimer toute entrée contenant la valeur ".exe" [un point suivi de l'extension, sans rien avant le point] car c'est là une des formes du trojan Back Orifice... tant qu'à supprimer les sources d'ennuis...)
4)Préparation d'autres infections virales
recherchez sur votre disque le fichier winFAT32.exe, probablement situé dans le repertoire suivant:
"windows/system/winFAT32.exe"
S'il n'existe pas, il y aura modification de la page d'accueil de Internet Explorer
par modification de la clef :
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Start Page
(ce fichier n'est pas FORCEMENT présent sur votre machine. s'il y est, c'est que vous n'avez pas encore téléchargé et executé le trojan [voir plus bas] vérifiez tout de même la page d'accueil, par pure précaution)
Cette page pointe alors sur un URL (que VOLONTAIREMENT je ne citerai pas intégralement ici!) commençant par "http://www.skyinet.net" (ou skynet.be) et se terminant par "WIN-BUGSFIX.exe".
Il y a 4 adresses possibles, choisies aléatoirement. Les pseudos sont :
"~young1s", "~angelcat", "~koichi" et "~chu"
Cette page est donc destinée à télécharger ce programme "WIN-BUGSFIX" (que vous ne devez SURTOUT pas télécharger)
(ATTENTION: pour eviter toute surcontamination, modifiez la clé ci-dessus dès que vous la trouvez pour la remplacer par une URL inoffensive de type http://www.yahoo.com ou mieux, supprimez-la [elle sera de toutes façons recréée par IE])
Je vous ferai grâce d'un exposé détaillé pour vous mettre ici une définition compréhensible par tous.
Sachez que Windows, mauvais élève en sécurité, stocke tous ses mots de passes dans des fichiers (un par utilisateur) dont l'extension est *.pwl. maintenant, lisez donc ce qui suit.
Les quelques lignes qui suivent sont une version corrigée du rapport fourni par l'équipe de Dr Solomon's antivirus...
Ce virus un cheval de Troie, qui récupère tous les mots de passe du poste
et les envoie par Email à MAILME@SUPER.NET.PH (bien entendu, ceci est inexact... l'agresseur peut tout à fait parametrer l'e-mail pour recevoir vos passwords)
(dangereux sous Windows 9x à cause des fichiers .pwl, facilement craquables, inoffensif sous NT ou W2k car les mots de passe sont stockés et chiffrés autrement)
(ERREUR de la part de Dr Solomon! ce programme [bien connu] récupère également les fichiers de mot de passe NT qui sont parfaitement crackables!)
Ensuite, WIN-BUGSFIX se recopie dans WINDOWS/SYSTEM/WinFAT32.EXE (ce qui explique la présence ou de l'absence de ce fichier) et
ajoute une entrée "WinFAT32" dans la clé
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
avec pour valeur "WINDOWS/SYSTEM/WinFAT32.EXE"
Ainsi, ce cheval de Troie sera lancé à chaque démarrage de Windows.
(il en va de même pour bon nombre de sockets de Troie. Verifiez qu'aucun nom suspect n'apparaît dans cette clé)
5)Test d'existence du fichier "WIN-BUGSFIX.exe"
S'il existe :
5.1) modification de la Base de Registres :
Dans la clef :
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
Ajout de l'entrée : "WIN-BUGSFIX"
Valeur : "%downread%WIN-BUGSFIX.exe"
5.2) annulation de la page d'accueil de IE (document vierge)
6)Création d'un fichier HTML destiné aux correspondants IRC
Le nom de ce fichier est "windows/system/LOVE-LETTER-FOR-YOU.HTM"
Il est titré "LOVELETTER - HTML", et contient un script en VBScript, dont le but est la création (et l'execution pendant visualisation!!! ) d'un fichier
"Windows/system/MSKernel32.vbs" (identique au virus initial).
Comme ce fichier HTML contient un VBScript, quand on l'ouvrira, normalement (selon les paramètres de sécurité) IE doit ouvrir une boite de dialogue demandant si on veut exécuter ce composant ActiveX.
Afin d'inciter le "client" à le faire, le fichier HTML affiche ce texte:
"This HTML file need ActiveX Control
"To Enable to read this HTML file"
"Please press 'YES' button to Enable ActiveX"
(bien entendu, vous ne DEVEZ pas accepter l'activation d'ActiveX, car vous accepteriez par là même l'execution du virus... )
Et un "marquee" (texte défilant avec "----z------z---") s'affiche indéfiniment. (ci-dessous un exemple de ce
"marquee", tiré du virus original)
(le principe du virus caché dans du HTML n'est pas nouveau. Seul problème: la plupart des logiciels de messagerie [tels Outlook, Eudora, ...] sont désormais compatibles HTML-Java-VBscript, d'où problème)
7)Examen de la messagerie (outlook)
Rendez vous dans la Base de Registres
(via le regedit, voir ici)
à la clé
HKEY_CURRENT_USER/Software/Microsoft/WAB
pour déterminer les carnets d'adresses.
En effet, le virus crée un message envoyé à toutes les adresses
Sujet : "ILOVEYOU"
Corps : "kindly check the attached LOVELETTER coming from me."
PJ : le fichier "windows/system/LOVE-LETTER-FOR-YOU.TXT.vbs"
(le virus)
(Il vous est donc conseillé de noter le contenu de cette clé puis, une fois le problème reglé, d'envoyer à ces adresses une copie de ce document...)
8)Infection de fichiers
Examen de tous les disques des PCs locaux ET réseau !!!
Examen de tous les fichiers de chaque répertoire.
Suivant les extensions de chaque fichier, l'infection va varier :
*.vbs, *.vbe
les contenus de ces fichiers sont remplacés par le virus
*.js, *.jse, *.css, *.wsh, *.sct, *.hta,
les contenus de ces fichiers sont remplacés par le virus De plus, leur extensions sont remplacées par .vbs
*.jpg, *.jpeg
les contenus de ces fichiers sont remplacés par le virus de plus, .vbs est ajouté à leurs extensions
*.mp3, *.mp2
- un fichier contenant le virus est créé, le nom de ce fichier étant le nom du fichier inital suivi de ".vbs"
(vos mp3 et mp2 demeurent intacts)
- le fichier original reçoit l'attribut "caché" ("hidden", sur les machines anglo-saxonnes)
(pour afficher les fichiers cachés, allez dans l'explorateur windows, menu affichage/options et cocher "afficher tous les fichiers" [pour Win95] ou menu affichage/options des dossiers, onglet affichage cochez "afficher tous les fichiers")
Autres extensions :
il ne se passe rien SAUF pour les fichiers suivants :
mirc32.exe
mlink32.exe
mirc.ini
script.ini
mirc.hlp
(Ces fichiers sont ceux du programme mIRC, mais de nombreux scripts y font appel. même si votre logiciel d'IRC porte un autre nom, pensez à
verifier)
Dans ce cas, le fichier "script.ini" est (ré)écrit, et contient un script qui envoie à tout correspondant IRC le fichier windowssystemLOVE-LETTER-FOR-YOU.HTM
(script basique s'il en est... il envoie le virus sous sa forme html à toute personne se trouvant sur le même channel que la personne infectée. notez que certains serveurs ne permettront pas le passage d'un fichier avec un nom aussi long...)
NB: ce script contient en commentaire le nom "Khaled Mardam-Bey"
(nom du créateur de mIRC)
Attitude préventive :
Si vous recevez le mail intitulé I LOVE YOU avec ou sans pièce jointe, NE PAS L'OUVRIR NI LE VISUALISER (les amoureux transis devront hélas changer leur subject habituel)
Si le fichier est en pièce jointe, suivre la méthode suivante:
l'enregistrer en supprimant son extension .VBS (il vous suffit pour celà de l'enregistrer sous le nom de virus.txt par exemple )
l'ouvrir avec un éditeur de texte (Notepad, accessible par le menu démarrer / programmes / accessoires /bloc-note [ou notepad, selon votre Windows] fait parfaitement l'affaire...)
ajouter tout au début la ligne suivante :
quit
(ainsi il ne pourra pas être exécuté, même par erreur)
LE SUPPRIMER!!!
(Pensez également à détruire COMPLETEMENT le mail d'origine [si vous l'avez reçu en pièce jointe]. Il faut savoir que si vous l'avez reçu par incrustation dans un script mail HTML ou sous toute forme HTML, cette méthode ne s'applique pas. vous pouvez passer directement à la cure.)
Attitude curative
Au niveau fichiers
Si on l'a exécuté, le MAL EST FAIT!
A moins de disposer d'une sauvegarde par Norton Ghost ou backup sur CD, zip, etc... on peut dire adieu à tous les .vbs, .js, .hta, ... même les JPEG sont inutilisables car contaminés
Quant aux mp3 (ou mp2), rien n'est perdu :
- supprimer tous les "xxxx.mp3.vbs"
de façon à voir réapparaitre les mp3 cachés
(pour retirer l'attribut "caché", ouvrez un prompt DOS [commandes MS-DOS], rendez vous dans le repertoire concerné en utilisant les commandes cd.. pour revenir en arrière d'une branche et CD [nom du repertoire] pour avancer dans l'arborescence. Vous pourrez connaître le contenu du repertoire en tapant dir /p. une fois dans le repertoire en question, entrez la commande attrib -h *.* )
Au niveau système
SUPPRIMER LES FICHIERS :
windows/Win32DLL.vbs
windows/system/MSKernel32.vbs
windows/system/LOVE-LETTER-FOR-YOU.TXT.vbs
EDITER LA BASE DE REGISTRE (en passant par le regedit)
Clé:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
Supprimer les entrées (situées dans la partie DROITE de l'ecran. il suffit pour celà de les sélectionner et de presser la touche Suppr ou Del ou encore de faire un clic droit dessus et sélectionner "supprimer"):
MSKernel32
WIN-BUGSFIX
(Plus, sous Windows 9x uniquement) Clé:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
Supprimer l'entrée :
Win32DLL
RECONFIGURER INTERNET EXPLORER
dans le menu démarrer / paramètres / panneau de configuration) Panneau de configuration, icône Internet
Onglet "Général" dans la fenêtre qui s'affiche.
Effacer toute adresse suspecte dans la page de démarrage!(la zone dans laquelle se trouve généralement une adresse internet)
Écrivez-moi
vous êtes le
(merci aux 7000 visiteurs qui sont passés avant reset du compteur)